Europejska Rada Ochrony Danych (EROD) 4 maja 2020 r. przyjęła zaktualizowaną wersję wytycznych dotyczących zgody (wytyczne 05/2020 w sprawie zgody na mocy rozporządzenia 2016/679 ver. 1.1, dalej: „wytyczne”).
Poza kilkoma zmianami redakcyjnymi wyjaśnione zostały niektóre istotne kwestie związane z:
- Warunkowością zgody.
- Jednoznacznością zgody udzielonej przez osobę, której dane dotyczą w kontekście tzw: „cookie walls”.
- Przewijaniem lub przeglądanie strony internetowej w kontekście działania potwierdzającego wyrażenie zgody na cookies.
Warunkowość zgody
Oceniając, czy zgoda jest udzielana dobrowolnie, należy wziąć pod uwagę art. 7 ust. 4 RODO, który stanowi gwarancję, że cel przetwarzania danych osobowych nie jest ani ukryty ani nie jest powiązany z wykonaniem umowy, jeżeli przetwarzanie danych osobowych nie jest niezbędne do jej wykonania.
W wytycznych EROD rozszerza pojęcie warunkowości jako elementu ważności zgody na przetwarzanie danych osobowych. Według EROD zgody nie można uznać za dobrowolną, jeśli administrator danych uzależnia świadczenie usługi od wyrażenia zgody, a jednocześnie istnieje możliwość wyboru między jego usługą, która obejmuje wyrażenie zgody a równoważną usługą oferowaną przez innego administratora danych.
Ponadto EROD podkreślił, że „dostawca usług nie może uniemożliwiać osobom, których dane dotyczą, dostępu do usługi ze względu na brak zgody”.
Cookie walls
Zgodnie z wytycznymi dobrowolność zgody oznacza, że dostęp do oferowanych usług nie może być uzależniony od zgody użytkownika na przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym użytkownika. Jako przykład EROD podaje „cookie walls”, czyli praktykę wymuszającą od użytkownika zgodę na zainstalowanie plików cookies, by móc uzyskać dostęp do strony internetowej. A upraszczając – chodzi o praktykę uniemożliwiania dostępu do treści bez kliknięcia na przycisk „akceptuj ciasteczka” czy też „wyrażam zgodę na pliki cookies”.
Według EROD, takie „ściany cookies” nie są zgodne z RODO, ponieważ nie dają one użytkownikowi rzeczywistego wyboru, a korzystanie z usługi jest uzależnione od zaakceptowania plików cookies.
Przewijanie/ przeglądaniem strony internetowej jako działanie potwierdzające
EROD wyjaśnił również znaczenie jednoznaczności przy wyrażaniu zgody na przetwarzanie danych osobowych, w odniesieniu do czynności „przewijania” i „przesuwania” jako wyrażenia ważnej zgody.
Zgodnie z motywem 32 RODO zgoda musi być „wyraźnym aktem potwierdzającym”, który zapewnia jednoznaczne, jasne i potwierdzające wyrażenie zgody osoby, której dane dotyczą, na przetwarzanie danych osobowych.
W wytycznych zostało podkreślone, że „działania takie jak przewijanie lub przesuwanie się po stronie internetowej lub podobne aktywności użytkownika w żadnym wypadku nie spełnią wymogu jednoznacznego potwierdzającego działania”.
Administratorzy muszą unikać dwuznaczności i zapewnić możliwość odróżnienia działania, w ramach którego udzielana jest zgoda, od innych działań. Samo kontynuowanie zwykłego korzystania ze strony internetowej nie jest zachowaniem, z którego można wywnioskować, że użytkownik wyraził zgodę na przetwarzanie jego danych, a administrator nie będzie mógł wykazać, że uzyskał jednoznaczną zgodę w rozumieniu art. 4 ust. 11 RODO.
Ponadto, w takim przypadku trudno będzie zapewnić użytkownikowi sposób na wycofanie zgody w sposób, równie łatwy jak jej uzyskanie.
Stanowisko EROD stanowi dalsze uzupełnienie wyroku Trybunału Sprawiedliwości Unii Europejskiej w sprawie w sprawie C-673/17 (Planet 49).
Podsumowując przedsiębiorcy powinni dokonać przeglądu stosowanych przez nich mechanizmów pozyskiwania zgody w celu ustalenia czy:
- Dostęp do ich usług nie jest uzależniony od zgody użytkownika na przetwarzanie jego danych osobowych.
- Pliki cookies nie są instalowane, dopóki użytkownik nie wyrazi zgody na ich użycie.
- Użytkownik miał realny wybór, czy zgodzić się na używanie plików cookie, czy też odmówić ich zainstalowania.
- Użytkownik nie zostanie pozbawiony możliwości dostępu do strony internetowej w przypadku odmowy zainstalowania plików cookies.
Zaktualizowane Wytyczne EROD 05/2020 w sprawie zgody na mocy rozporządzenia 2016/679 ver. 1.1